Schlagwort-Archive: Guest Access

Microsoft 365 Sharing und OTP Auth

Letztes Jahr hat Microsoft hinsichtlich Sharing in OneDrive for Business und SharePoint Online eine große Änderung vorgenommen. Wenn anonyme Links nicht zugelassen waren, musste der Externe entweder über einen Entra ID-Account oder Microsoft Account verfügen.

Seit letztem Jahr wurde diese Funktion zur Anlage eines Gastaccounts seitens Microsoft verändert. Bei Einladung von Externen zu Teams und SharePoint Sites bleibt alles wie gehabt. Lediglich beim Teilen von Dateien und Ordnern in OfB und SPO ergibt sich ein anderes Bild:

Der Empfänger erhält eine E-Mail mit dem Link auf die Datei. Dort muss er dann seine E-Mail-Adresse erneut eingeben und erhält ein OTP zur einmaligen Authentifizierung und kann danach auf die Datei zugreifen.

Die Unterschiede der drei Varianten beleuchtet folgender Artikel auch mit Screenshots sehr gut: SharePoint and Microsoft 365 External Sharing with Non-Microsoft Accounts | SharePoint Maven

Problem ist nun, dass das Verhalten aus meiner Sicht nicht konsistent ist. Damit werden MFA-Anforderungen und auch das Abnicken von Nutzungsbedingungen (die teilweise von Unternehmen gefordert werden) umgangen.

Um das alte Verhalten auch für Datei- und Ordnerlinks zu implementieren, bringt es leider auch nichts, den IdP “Email one-time passcode” zu deaktivieren, am Verhalten ändert sich nichts:

Stattdessen muss die AAD-B2B-Integration aktiviert werden. Dies erfolgt mit einem einfachen PowerShell-Befehl für den SharePoint Online-Tenant, der in folgendem Artikel beschrieben ist: : https://learn.microsoft.com/en-us/sharepoint/sharepoint-azureb2b-integration#enabling-the-integration

Damit erfordern die Links zukünftig wieder, dass der Externe einen Gast-Account anlegen und sich mit MSA oder EntraID authentifizieren muss. Und die Terms of Use müssen auch wieder abgenickt werden.